Hálózatok általános

Contabo BF

Hali!

Két okból is nyitom ezt a topic-ot, az egyik a Contabo BF akciója, amire érdemes lehet ránézni. A másik, hogy kíváncsi vagyok, az amerikai terjeszkedés, meg úgy az elmúlt éveik alapján kinek milyen véleménye, tapasztalata van velük? Nem választásban kérek segítséget, nekem jelenleg van tőlük két gépem, csak érdekel, ki mit tapasztal.

A BF akció:

11-ig (még 2,5 óra) tart a BF akció, ahol
- Nincs setup fee, azaz nem kell leperkálni a telepítési / beállítási díjat, ami egyhavi előfizetésnél 4.99 Eur, több hónapra fizetve ez csökken. Emiatt ha valaki 12 hónapra befizet, annak most egyet ajándékba adnak.
- Nincs felár az amerikai DC-kre, így az Eu-s DC-khez hasonló áron lehet megcsípni
- De ami engem a legjobban megfogott, az NVMe árát lefelezték. Így most nem egész 13 Euróért van egy 6 mag (AMD Epyc), 16 GB RAM és 200 GB NVMe VPS-em, ami ilyen adatokat hoz
root@vmi<xxxxxx>:~$ curl -sL yabs.sh | bash -s -- -i
# ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## #
#              Yet-Another-Bench-Script              #
#                     v2021-10-09                    #
# https://github.com/masonr/yet-another-bench-script #
# ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## ## #

Fri 26 Nov 2021 09:20:57 PM CET

Basic System Information:
---------------------------------
Processor  : AMD EPYC 7282 16-Core Processor
CPU cores  : 6 @ 2794.748 MHz
AES-NI     : ✔ Enabled
VM-x/AMD-V : ❌ Disabled
RAM        : 15.6 GiB
Swap       : 0.0 KiB
Disk       : 195.8 GiB

fio Disk Speed Tests (Mixed R/W 50/50):
---------------------------------
Block Size | 4k            (IOPS) | 64k           (IOPS)
  ------   | ---            ----  | ----           ----
Read       | 23.31 MB/s    (5.8k) | 331.84 MB/s   (5.1k)
Write      | 23.32 MB/s    (5.8k) | 333.59 MB/s   (5.2k)
Total      | 46.63 MB/s   (11.6k) | 665.44 MB/s  (10.3k)
           |                      |
Block Size | 512k          (IOPS) | 1m            (IOPS)
  ------   | ---            ----  | ----           ----
Read       | 3.49 GB/s     (6.8k) | 10.73 GB/s   (10.4k)
Write      | 3.68 GB/s     (7.1k) | 11.45 GB/s   (11.1k)
Total      | 7.18 GB/s    (14.0k) | 22.19 GB/s   (21.6k)

Geekbench 5 Benchmark Test:
---------------------------------
Test            | Value
                |
Single Core     | 990
Multi Core      | 4891
Full Test       | https://browser.geekbench.com/v5/cpu/11244085

 

Azthiszem ennyiért abszolút megérte. Most másnak is megérheti próbálgatni, a 0 Eur setup fee miatt, én is ezért ruháztam be erre, meg két éve is így kerültem velük kapcsolatba. Szerintem az az 5 eurós beállítási díj horror, lehet, én vagyok nagyon árérzékeny, de a hasonló fizetési politika miatt nem próbáltam be pl. a Netcup-ot.

Ha nem válik be, maximum megválok tőle, de 12 óra tapasztalata alapján annyi hátránya van, hogy valamiért dacára annak, hogy egy DC-ben van a másik VM-emmel a hálózat időnként nagyon instabillá válik (felszökik a ping +10--20 ms-sel, ezen majd biztos segít a support ahogy eddig már többször is megtették), illetve egy olyan IP-t kaptam, ami valószínűleg frissen lett az övék, mert minden lookup oldal Belgiumba írja. Viszont clear cím, nem találtam róla semmit a neten, bár eddig az összes Contabo-s címem ilyen. Ráadásul az én bizalmamat tovább erősíti velük kapcsolatban, hogy nagyon határozottan lépnek fel ha bármi beszennyezheti az IP-jeiket, egy ismerősöm VM-jén feltörtek egy Wp oldalt és csalásra használták, írtak mail-t, 24 órán belül a nem reagálás miatt lelőtték a gépet, és úgy kellett győzködni őket, hogy kapcsolják vissza, meg utána is részletesen kellett fejtegetni, mi lett elkövetve, hogy a jövőben megelőzzük az ilyesmit. A lelövés után én vettem a kezembe az ügyet, a kolléga lehetőségeit az már meghaladta.

 

És akkor némi tapasztalat, kezdésnek

 

Én két éve kerültem velük kapcsolatba, BF-en vettem egy gépet. Szép volt, jó volt, két-három napig. Utána botrány lett a hálózat, a VM órákig tökölt mindenen, néha jobb lett, de nagyon esetleges volt. Mivel ennyire tetszett, gyors egy havert is belerántottam a story-ba.
Pár nappal később az én VM-em botrányosan rossz lett.
- Lassú lett a gép, de ezzel nem törődtem, betudtam annak, hogy ez ilyen.
- A peeringgel volt valami, nurembergi DC, de valamiért Londonon át ment a forgalom, ami a pinget mindig, a sebességet néha ölte meg, és folyamatos volt a packet loss. Mivel haveromnak is itt volt gépe, amire Telia-n át ment a forgalom, akkor számomra jónak számító átlag 10 MBps sebességgel, az enyémmel szemben 40 helyett 20 ms pinggel, és a két gép közt kemény 0.1 ms volt a ping, hát írtam a support-nak, hogy peering gondom van. Rakjanak át másik node-ra, vagy akár másik DC-be. Hát kereken megtagadták a dolgot, közölték, hogy felejtsem el, ilyenre nincs lehetőség, biztos nálam a hiba, meg a peeringre amúgy sincs ráhatásuk.
Itt jött az a momentum, amin szakmaibb berkekben mindenki röhögőgörcsöt kapott, befizettem még egy hónapra, gondoltam próba-szerencse. Majd a fizetést követően két héttel írtam megint a support-nak. Na itt már sokkal készségesebbek voltak (itt lehetett egy tulajváltás, teljesen más nevek voltak a cégnél), rögvest adtak test IP-t, írták, hogy mtr meg iperf3 alapján ez botrányosan rossz. Mentsem le az adataim, írjam le nekik, hogy mehet a csere, és átraknak munichi DC-be.
Ez meg is történt, erős gép, jó hálózat, szép is volt, jó is volt, egy évig. Mert utána a DIGI felől elromlott valami a peeringgel, s bár Telekom-ról, Telenor-ról, UPC-ről jó volt, de az itthoni net DIGI, így nyilván kellett volna mennie innen. Ismét írtam nekik, leírtam, hogy a hiba nálam van, de az ISP-m nem valószínű, hogy megoldja. Mondták, hogy akkor átraknak Düsseldorf-ba. Megtörtént idén tavasszal, azóta is hasít a gép és a hálózat is. Így vettem mégegy gépet, amit szintén oda telepítettek.

Idő közben egy harmadik haver is beszállt a buliba, az előzővel együtt ők maradtak Nürembergben, eléggé belakták a gépeket, emiatt kizárt az átmozgatás. Azt kell, hogy mondjam, hogy a nürembergi DC az ő gépeik alapján botrányosan rossz. Néha belépek adminisztrálni, és a steal az az egekben, az SSD sebessége az egy ócskább HDD-ét sem éri el, a CPU Geekbench5 alapján single-ben 200 multiban 300 pont, a hálózat néha kimaxolja a 200 Mbps kínált sebességet, néha maximum 20-at. Ezzel szemben a munich-i és düsseldorf-i mindig hozta a sebességeket.

 

Na ez az én történetem velük. Kíváncsi vagyok, csak nekem volt-e ilyen kalandos, ami szerintem ilyen árak mellett bőven vállalható.

Megjott az internet, valasszunk routert es SFP-t!

Ma bekotesre kerult nalunk az FTTH, mivel a Gigabit overkill lett volna itthonra ezert csak 100Mbit/s-es csomagot rendeltem.
Viszont ez nem tart vissza attol, hogy fogjam a pigtailt es sajat cuccokat dugjak ra.

Ahogyan az itt Nemetorszagban szinte mindenhol szokas valamilyen FritzBox routert vagnak hozzad (horror aron) a szerzodessel egyutt.
De mivel jogszabaly irja elo, hogy az ISP nem kotelezhet a sajat routerenek a hasznalatara, ezert habar megnehezitik a sajat eszkoz beuzemeleset es supportot sem adnak termeszetesen ha valami felre megy, de lehetseges a dolog.

Amugy valoszinuleg jol meglennek a default setuppal is, de

  • erdekel a tema, szeretnek vele kicsit jatszani
  • egy SFP portos routerrel meg tudok szabadulni a default routertol es ONT doboztol is, a ket eszkozt lecserelnem egyre
  • mar van itthon Unifi termekem es akkor igy homogenre tudnam csinalni a halozati eszkozoket

 

Mivel mar reg volt az egyetem es nem is annyira astam magam bele akkoriban a temaba, ezert elegge utana kellett olvasnom az egesz optikai halozat topicnak, de azert meg vannak vakfoltok.

A szolgaltato reszerol ket megkotes van:

  • A WAN port fele VLAN tagginget kell beloni
  • be kell telefonalni az eszkoz uj MAC addressevel, hogy kaphasson IP-t

Ezt szerencsere mar mind validaltam egy egyszeru kis TP Link routerrel, mukodik a dolog.

 

A szerelo ember aki kijott, azt mondta, hogy az ONT boxszal kapcsolatban nincs semmi megkotes, encryption, etc.. szoval elvileg egy SFP-re lehet siman cserelni.

A pigtail ami az ONT-be megy annak az "elosztoba" meno vege zold (tehat LC/APC) az ONT-be meno resze pedig kek (tehat SC/UPC), ezt ha jol ertem SFP-re cserelesnel zold - zold kabelra kell cserelni, mivel a legtobb SFP LC bemenetet var el.
Egy optikai kabel van, nem duplan fut, szoval ennek azt kell jelentenie, hogy simplex megoldasrol beszelunk.
Ami nem vilagos itt, hogy mi a kapcsolat a simplex es single mod, illetve duplex es multi mod kozott, valamint hogy mikor mit hasznalunk. Ezt jo lenne ha valaki rendbe tenne kozuletek.

Szerencsere megvan a kabel leirasa is: https://drive.google.com/file/d/1mxZt2Rro46H_Ptb57yxCXXV6rFgHxLim/view

kabel

 

Az ONT hw a kovetkezo: https://netcon.store/media/pdf/25/f8/2b/DBe_XON1300_S_SC_GER_170320.pdf

Ezek alapjan a kovetkezo cuccokat valogattam ossze:

Edge Router ER-X-SFP:

https://www.ui.com/edgemax/edgerouter-x-sfp/
https://www.ui.com/edgemax/comparison/

 

SFP:

https://www.fs.com/de/products/75339.html?utm_category=904&gclid=EAIaIQobChMIqPGY1vK19AIVvJBoCR1YPQdKEAQYASABEgK2pvD_BwE
 

Kabel:

https://www.fs.com/de/products/41571.html?attribute=261&id=99403

 

Szerintetek ez igy jo lesz, fog ez igy mukodni? Van meg valami amit kihagytam vagy esetleg oda kene figyelnem ra?
Lelkes (ujra)kezdo leven szivesen veszek minden tanacsot a temaban.

 

Elore is koszi!
 

UPC - Vodafone halozatfejlesztes...

A mult heten kaptam egy sms-t, hogy halozatfejlesztesi munkalatok miatt tegnap es ma 8-20 lehetnek problemak a neteleressel.

Szinte semmi problemam nem volt, ha bongesztem, viszont befele a hetfo reggel 8-ig jol mukodo szolgaltatasok portjai (pl 443,993,995,22) mar nem elerhetoek. Ugyfelszolgalat azt mondja, ok nem tudnak mit tenni ezzel a problemaval. Erdekes, hogy meg az ipcimem sem valtozott pedig le is reseteltuk a modemet.

Esetleg nem tudok valamit, amit tudnom kene, hogy ujabban csak bongeszesre fizetek elo a Vodanal? Esetleg a szerzodes tartalmaz ilyen dolgokat, hogy semmilyen kulso eleres nem lehetseges?

LACP bonding probléma

Sziasztok,

Két gigabites hálókártyát (eth0 és eth1) próbálok összehozni LACP-vel Debian 11 alatt úgy, hogy meglegyen a 2Gbit/s-es sebesség.
Azonban hiába megy mindkét hálókártya, sebességtesztben csak 1Gbit/s van.
Ezen kívül a dmesgben egy erre vonatkozó warning ezzel boldogít:

bond0: Warning: No 802.3ad response from the link partner for any adapters in the bond

Eddig ezzel a két switchel próbáltam és ugyanaz a jelenség:
- Mikrotik CRS328-24P-4S+RM
- Zyxel GS2210-48

/etc/network/interfaces erre vonatkozó része:

auto bond0
iface bond0 inet static
    address 172.22.0.100
    netmask 255.255.255.252
    gateway 172.22.0.1
    dns-nameservers 172.22.0.1
    slaves eth0 eth1
    bond-mode 802.3ad
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200

Köszönöm az ötleteket!

WakeOnLan mit csinálok rosszul?

Sziasztok!

Van egy laptop Dell e5570, UEFI dual boot Fedora + Win10.
Ha linuxban dolgozok és linuxból kapcsolom ki a gépet, akkor a gépet fel lehet éleszteni WOL-nal, ethernet kábelen.
De ha W10-be bootolok és kikapcsolom a gépet, nem működik a WOL, csak power gombbal lehet bekapcsolni.
Ezután ha linuxot indítok és kikapcsolom a gépet, ismét működik a WOL.
W10ben ki van kapcsolva a hálókártya energiaspórolós része és a WIN10 WOL is aktiválva van a kártyára.

Mi lehet az oka, hogy W10 után nincs WOL?

Sebességlovagoknak: Digi 2,5 és Digi 10

Kontrasztos annak tükrében, hogy tegnap még itt a fórumon lassú ADSL áthidaló megoldás kérdésre válaszoltunk.

https://digi.hu/hirek/bemutatja-10-gbits-savszelessegu-lakossagi-szolga…
Az optika kihúzása és a G-PON eszközökkel való végződtetése után 10 évvel eljött az XGS-PON végberendezésekre való cserélések időszaka a Diginél.
Lehet bekészíteni otthonra a 10Gbps-es ethernet kártyákat.

Linux dual WAN failover

Sziasztok,

 

nem igazán találtam érdemi választ a fórumok között, ezért nyitok új témát.

Adott egy Linux, ami egy irodaház internetforgalmát szabályozza. Két kapcsolat van: egy T-com ADSL és egy UPC koax.

A T-com az elsődleges, a másik kvázi csak tartalék.

 

A cél a hiba esetén az automatikus átállás.

Elég sok leírást van a neten - talán már egy kicsit több is a kelleténél :).

 

Van-e valakinek valamilyen bevált megoldása, scriptje, akármije, amivel ezt meg tudom oldani. A visszaállás nem feltétlen kell automatikusan (gondolok itt olyanra, hogy ha megszakad az ADSL, akkor a PPP egy idő után leáll, és azt nem akarom élesztgetni, hogy vajon van-e már kapcsolat).

 

 

Köszi.

Telekom IPv6 - miért nem irányít át?

Telekom mobilos IPv6-os klienseknél tapasztaltuk azt, hogy egyes PHP-s átirányítások (header location:) nem működnek.
Minden más szolgáltató, amivel próbáltam, jó. Az átirányítás céljaként beállított oldalt közvetlenül (bepötyögve a böngészőbe) ugyanazok a kliensek be tudják tölteni.

Minta átirányítás: https://kg.hu/atiranyit.php

Amiket próbáltam:

  • Csak Telekom mobil IPv6-os kliensekkel sikerült reprodukálni a hibát. Több különböző iPhone-nal és Linux-szal is, 4G és 3G hálózaton. Wifin minden jó (Telekomos vezetékessel is)
  • Ha a hosszú betöltési próbálkozás közben másik, a célhoszthoz tartozó URL-t írok be ugyanazon a böngészőlapon, az sem tölt be
  • A célhost Apache logjában a kérés sem látszik, az átirányítást végzőében minden megvan.

Látott már valaki ilyen állatot?

fail2ban + ufw nem megy

/etc/fail2ban/filter.d/pizzaseo.conf -ban:

 

[INCLUDES]
before = common.conf

[Definition]
failregex = .*queries: client @0x.* <HOST>#.*\(pizzaseo.com\): query: pizzaseo.com
ignoreregex =

/etc/jail.local -ban:

 

[DEFAULT]
bantime   = 3600
banaction = ufw
blocktype = deny


[named-pizzaseo]
enabled  = true
filter   = pizzaseo
logpath  = /var/log/named/named-querylog
maxretry = 3
findtime = 60
bantime  = 1800
ignoreip = 127.0.0.1/8 ::1

Elvileg működik, mert bannolta őket:

# fail2ban-client status named-pizzaseo                                                                                                                                                                    130 ↵
Status for the jail: named-pizzaseo
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	98
|  `- File list:	/var/log/named/named-querylog
`- Actions
   |- Currently banned:	5
   |- Total banned:	5
   `- Banned IP list:	165.73.94.72 51.210.48.107 74.207.29.61 77.96.28.197 193.201.64.182

A tűzfal szabályok között is látszódik, például:

# ufw status | grep 165.73.94.72       
Anywhere                   DENY        165.73.94.72              

Ennek ellenére továbbra is jönnek befelé a kérések, és a fail2ban panaszkodik is emiatt:

2021-08-05 18:24:35,616 fail2ban.actions        [12825]: WARNING [named-pizzaseo] 165.73.94.72 already banned

Az "ufw status numbered" az összes "ALLOW IN" szabályt a "DENY IN" szabályok után mutatja.

Hogy lehetséges ez?

Érdekes NS query-k

Eredetileg azért kapcsoltam be az ns query naplózást, mert jött be egy csomó ilyen:

Aug  5 17:11:25 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:25 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug  5 17:11:26 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:26 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug  5 17:11:38 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:38 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug  5 17:11:40 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:40 ns1 named[9331]: client @0x7f99301011b0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug  5 17:11:40 ns1 named[9331]: client @0x7f993011e0d0 54.38.152.190#22003 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:40 ns1 named[9331]: client @0x7f993011e0d0 54.38.152.190#22003 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980
Aug  5 17:11:47 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Aug  5 17:11:47 ns1 named[9331]: client @0x7f993011e0d0 49.206.51.162#22000 (pizzaseo.com): query failed (REFUSED) for pizzaseo.com/IN/RRSIG at ../../../bin/named/query.c:6980

és erre állítottam be fail2ban-t. Utána elkezdtem nézegetni hogy milyen kérések jönnek még be. Nagyon megleődtem amikor láttam ezeket:

 


05-Aug-2021 17:16:49.873 queries: client @0x7f993010f940 84.2.227.134#21851 (UPDATeS.MESS.hU): query: UPDATeS.MESS.hU IN A -E(0)DC (207.180.199.54) 17:17:44.472 queries: client @0x7f993011e0d0 84.2.42.16#56704 (upDATES.MeSs.hU): query: upDATES.MeSs.hU IN AAAA -E(0)DC (207.180.199.54)
05-Aug-2021 17:17:45.224 queries: client @0x7f993011e0d0 84.2.227.132#12372 (UpdATeS.MESs.HU): query: UpdATeS.MESs.HU IN AAAA -E(0)DC (207.180.199.54)
05-Aug-2021 17:17:45.654 queries: client @0x7f993011e0d0 84.2.227.132#54276 (UpdaTES.mEss.hu): query: UpdaTES.mEss.hu IN AAAA -E(0)DC (207.180.199.54)

 

Mindenféle kombinációban érkeznek be random kis/nagybetűsre konvertált domain nevekre kérések folyamatosan. A forrás cím "magyar telekom" terlületről származik. De nem egyetlen IP, hanem egy egész tartományból.

Nem csak erre a subdomain-re csinálja, hanem mindenféle aldomain-re.

Ki csinálhat ilyet, és mit remél tőle? Mire jó ez? :-)